APT는 "유효하지 않은" 인증서를 허용할 수 있습니까?

APT는 "유효하지 않은" 인증서를 허용할 수 있습니까?

오늘 흥미로운 사실을 발견했습니다. 그래서 Kali Linux를 사용하고 있으며 리포지토리를 사용하여 시스템을 완전히 업데이트하려고 합니다.http://http.kali.org/kali. 백도어 팩토리와 mimikatz로 인해 403 거부를 받기 전까지는 모든 것이 괜찮았습니다. 처음에는 서버 구성 오류인 줄 알고 무시했지만, 호기심이 생겨서 URL을 Firefox에 표시하기로 결정했습니다. 물론 우리 대학에서는 이러한 특정 URL을 차단했지만 저장소의 다른 URL은 차단하지 않았습니다.

나는 https에서 URL을 로드할 수 있는지 확인하기로 결정했습니다(예, (내가 아는 한) 대부분의 APT 서버는 https를 전혀 지원하지 않기 때문에 이것이 가능성이 낮다는 것을 알고 있습니다) 그것이 작동한다는 것을 발견했습니다. archive-8.kali.org의 인증서만 허용됩니다. (예, 유효하지 않은 인증서가 나쁘다는 것을 알고 있지만 유효성을 확인하기 위해 GPG를 사용하고 암호화 없이 http를 사용한다면 왜 안될까요?)

또한, 나는 내가 사용할 수 있다는 것을 안다https://archive-8.kali.org/kali이전 URL 대신에 그렇게 했지만 유효하지 않은 인증서 수락에 대해 묻는 이유는 단순히 도메인을 전환하는 솔루션이 불가능하기 때문입니다.

답변1

HTTPS 전송의 특정 매개변수를 구성할 수 있습니다 /etc/apt/apt.conf.d/. man apt.conf자세한 내용은 ("그룹 가져오기" 섹션, 하위 섹션 "https")를 참조하세요.
아직 하나 있어요유용한 예프로젝트에 trusted-apt.

예를 들어 인증서 검사를 완전히 비활성화할 수 있습니다.

// Do not verify peer certificate
Acquire::https::Verify-Peer "false";
// Do not verify that certificate name matches server name
Acquire::https::Verify-Host "false";

...또는 특정 호스트의 경우:

Acquire::https::repo.domain.tld::Verify-Peer "false";
Acquire::https::repo.domain.tld::Verify-Host "false";

/etc/apt/apt.conf.d/이러한 옵션은 공식 패키지에 의해 설치된 옵션(자체 별도의 파일이 생성됨)을 방해하지 않도록 새로 생성된 파일에 배치되어야 합니다 .
파일 이름은 옵션 파일이 구문 분석되는 순서를 결정하므로 다른 패키지에 의해 설치된 옵션 이후에 옵션이 구문 분석되도록 상당히 높은 숫자를 선택하는 것이 좋습니다. 80ssl-exceptions예를 들어 이렇게 해 보세요.

답변2

임시 해결 방법으로 다음을 수행할 수 있습니다.

apt -o "Acquire::https::Verify-Peer=false" update
apt -o "Acquire::https::Verify-Peer=false" install curl

관련 정보